Senere ændringer til forskriften
Lovgivning forskriften vedrører
Ændrer i/ophæver
Oversigt (indholdsfortegnelse)

   

Den fulde tekst

Bekendtgørelse om planlægning og gennemførelse af beredskab for elektroniske kommunikationsnet og -tjenester

I medfør af § 86, stk. 1, 2 og 4, § 87, stk. 1 og § 112, stk. 2 og 3, i lov om konkurrence- og forbrugerforhold på telemarkedet, jf. lovbekendtgørelse nr. 780 af 28. juni 2007, som ændret ved lov nr. 325 af 30. april 2008, fastsættes efter bemyndigelse i henhold til § 3, stk. 1 og 2, § 5, stk. 2 og § 6, i bekendtgørelse nr. 575 af 18. juni 2009 om beredskab for elektroniske kommunikationsnet og -tjenester:

Formål og anvendelsesområde

§ 1. Bekendtgørelsen har til formål at sikre et beredskab for elektroniske kommunikationsnet og -tjenester med henblik på i en beredskabssituation at kunne videreføre væsentlige funktioner i samfundet, som udføres under anvendelse af elektroniske kommunikationsnet og -tjenester.

§ 2. Bekendtgørelsen gælder for udbydere af offentlige elektroniske kommunikationsnet og -tjenester og ejere af elektroniske kommunikationsnet, der anvendes til formidling af offentlige elektroniske kommunikationstjenester.

Stk. 2. §§ 5-13 gælder dog kun for ejere af elektroniske kommunikationsnet, der anvendes til formidling af offentlige kommunikationstjenester.

Definitioner

§ 3. Ved et beredskab for elektroniske kommunikationsnet og -tjenester forstås i denne bekendtgørelse planlægning og udførelse af de foranstaltninger, der er nødvendige for at opretholde eller genetablere samfundsvigtig elektronisk kommunikation i beredskabssituationer.

Stk. 2. Ved en beredskabssituation forstås i denne bekendtgørelse større ulykker og katastrofer og andre ekstraordinære hændelser eller kriser, hvor det er nødvendigt at indføre særlige foranstaltninger vedrørende elektroniske kommunikationsnet og -tjenester med henblik på at kunne videreføre samfundets funktioner samt yde støtte til beredskabsmyndighederne.

Stk. 3. Ved samfundsvigtig elektronisk kommunikation forstås i denne bekendtgørelse kommunikation, der foregår via elektroniske kommunikationsnet og -tjenester, og som er nødvendig med henblik på videreførelse af samfundets funktioner under forhold som nævnt i stk. 2.

Stk. 4. Ved beredskabsmyndighederne forstås i denne bekendtgørelse forsvaret, politiet, redningsberedskabet og de myndigheder, der indgår i den civile sektors beredskab.

Stk. 5. I det omfang denne bekendtgørelse refererer til begreber, som er defineret i lov om konkurrence- og forbrugerforhold på telemarkedet, henvises til de i loven fastlagte definitioner.

Beredskabspligt

§ 4. Udbydere, jf. § 2, stk. 1, skal som led i udbydernes planlægnings- og driftsopgaver foretage en beredskabsplanlægning til forebyggelse og håndtering af beredskabssituationer med henblik på, at udbuddet af elektroniske kommunikationsnet- og tjenester i videst muligt omfang kan opretholdes.

Stk. 2. Udbyderne skal gennem planlægning sikre, at de nødvendige ressourcer er til rådighed ved aktivering og gennemførelse af beredskabet. Udbyderne skal i den forbindelse sikre, at de medarbejdere, som skal indgå i beredskabet, løbende modtager den fornødne instruktion, uddannelse og træning.

Stk. 3. Ansvaret for beredskabsplanlægning, jf. stk. 1 og 2, kan ikke overdrages til tredjemand. Hvis opgaven med beredskabsplanlægning eller centrale dele af udbyderens drifts- og/eller planlægningsopgaver udføres af tredjemand, påhviler det udbyderen gennem aftale og ved kontrol at sikre, at der er planlagt et tilstrækkeligt beredskab i medfør af reglerne herom i denne bekendtgørelse.

Beredskabsplanlægning

§ 5. Ejere af elektroniske kommunikationsnet, jf. § 2, skal løbende foretage en beredskabsplanlægning, jf. § 4, stk. 1 og stk. 2, til forebyggelse og håndtering af beredskabssituationer, jf. § 3, stk. 2, som skal indeholde

1) en risiko- og sårbarhedsvurdering, og

2) sikkerhedspolitikker og beredskabsplaner, herunder planer for sikring af infrastruktur.

Stk. 2. Planlægningen skal omfatte beredskabssituationer, som i væsentlig grad vil kunne reducere funktionaliteten hos ejerens virksomhed og eventuelt andre dele af telesektoren i forhold til udbuddet af elektroniske kommunikationsnet og -tje­ne­ster. Planlægningen skal herudover sikre, at ejeren i nødvendigt omfang kan bidrage til den nationale krisehåndtering.

Stk. 3. Ejerens planmateriale skal revideres i det omfang, udviklingen gør det nødvendigt, herunder ved væsentlige ændringer af ejerens virksomhed eller dennes sårbarheder og beredskabsforhold. Planmaterialet skal dog mindst revideres hvert andet år.

Risiko- og sårbarhedsvurderinger

§ 6. Ejere af elektroniske kommunikationsnet, jf. § 2, skal i henhold til § 5, stk. 1, nr. 1, inden den 1. januar 2010 udarbejde en risiko- og sårbarhedsvurdering i forhold til opretholdelse af disses udbud af elektroniske kommunikationsnet og -tjenester i en beredskabssituation, jf. § 3, stk. 2.

Stk. 2. Risiko- og sårbarhedsvurderingen efter stk. 1 skal omfatte

1) kortlægning og gruppering af ejerens samlede infrastruktur (styresystemer, transmissions- og kabelveje, bygninger m.v.),

2) identifikation af hvilke trusler, der udgør de væsentligste risici,

3) identifikation, udvælgelse og prioritering af beredskabet over for disse risici.

Stk. 3. Kortlægning og gruppering af ejerens samlede infrastruktur, jf. stk. 2, nr. 1, skal ske ud fra en vurdering af de enkelte infrastrukturelementers betydning for opretholdelse af udbuddet af elektroniske kommunikationsnet og -tjenester på henholdsvis internationalt, nationalt og lokalt niveau. Ved denne vurdering skal tages hensyn til konsekvenser ved udfald af den pågældende del af infrastrukturen målt i varigheden af afbrydelsen af ejerens udbud og berørte antal slutbrugere. Ved vurderingen skal desuden tages hensyn til infrastrukturens betydning for funktionaliteten i andre dele af telesektoren.

Stk. 4. IT- og Telestyrelsen kan fastsætte nærmere retningslinjer for udarbejdelsen af risiko- og sårbarhedsvurderinger, jf. stk. 1, 2 og 3.

Stk. 5. IT- og Telestyrelsen kan angive et konkret trusselsbillede, som risiko- og sårbarhedsvurderingerne samt beredskabsplanlægningen, jf. §§ 7 og 9, skal tage afsæt i.

Sikkerhedspolitikker og beredskabsplaner

§ 7. Ejere af elektroniske kommunikationsnet, jf. § 2, skal inden den 1. januar 2011 udarbejde relevante sikkerhedspolitikker, herunder en beredskabspolitik og en informationssikkerhedspolitik, og beredskabsplaner til forebyggelse og håndtering af beredskabssituationer, jf. § 3, stk. 2. Planerne skal baseres på risiko- og sårbarhedsvurderinger som nævnt i § 6. Beredskabsplanerne skal omfatte

1) en eller flere sammenfattende beredskabsplaner, som beskriver ejerens krisehåndtering og i relevant omfang suppleret med

2) underliggende beredskabsplaner i form af detaljerede planer, procedurer, instrukser m.m. samt sikringsplaner for konkrete teleanlæg og anden infrastruktur i relation til opretholdelse af ejerens udbud af elektroniske kommunikationsnet og -tjenester.

Stk. 2. Beredskabsplaner efter stk. 1 skal angive, hvordan ejeren planlægger at håndtere en beredskabssituation, jf. § 3, stk. 2, og styre indsatsen. Formålet hermed er at sikre, at situationen normaliseres hurtigt og i videst muligt omfang, og at reducere konsekvenserne af situationen for samfundet. Krisehåndteringen skal som minimum indeholde følgende elementer:

1) Aktivering, etablering og drift af en kriseorganisation

2) Indhentning, behandling og fordeling af relevante informationer

3) Koordinering af aktørernes handlinger og ressourceanvendelse

4) Udsendelse af relevant, opdateret og samordnet ekstern information.

Stk. 3. Beredskabsplaner efter stk. 1 skal som minimum angive følgende konkrete forhold:

1) Ejerens modtagelse og håndtering af oplysninger om beredskabssituationen, jf. § 3, stk. 2, fra IT- og Telestyrelsen og andre myndigheder

2) Ejerens kompetence- og beslutningsforhold af relevans for krisehåndteringen

3) Ejerens information af relevante myndigheder, samarbejdsparter m.fl. om situationen og krisehåndteringen

4) Ejerens muligheder for at indsætte yderligere ressourcer i krisehåndteringen i form af personale, materiel, støtte fra andre virksomheder i henhold til aftale

5) Ejerens planer for fremskaffelse af kritiske reservedele fra eget lager eller fra leverandører.

§ 8. Ejere af elektroniske kommunikationsnet, jf. § 2, skal udpege et kontaktpunkt. Kontaktpunktet skal i beredskabssituationer, jf. § 3, stk. 2, når som helst kunne fungere som forbindelsesled til ejerens virksomhed. Kontaktpunktet skal kunne udveksle informationer med IT- og Telestyrelsen og andre myndigheder, og skal have beslutningsmyndighed i forhold til at aktivere ejerens beredskab.

Stk. 2. Ejeren skal uden unødigt ophold straks informere IT- og Telestyrelsen, hvis ejerens beredskabsplaner, jf. § 7, aktiveres, og/eller hvis der

1) foreligger en beredskabssituation, jf. § 3, stk. 2, eller anden hændelse, herunder terrorhandling, sabotage eller spionage, som i væsentlig grad har reduceret eller skønnes at ville reducere ejerens virksomheds funktionalitet og/eller funktionaliteten i andre dele af telesektoren,

2) foreligger en beredskabssituation, jf. § 3, stk. 2, eller anden hændelse, som i væsentlig grad har øget eller skønnes at ville øge sårbarheden af samfundets teleforsyning,

3) uanset nr. 1-2 forekommer omfattende afbrydelser i teleforsyningen, som omfatter eller skønnes at ville omfatte et større geografisk område eller har afbrudt teleforsyningen til et større antal telebrugere, hvor afbrydelsen har varet eller skønnes at ville blive af en varighed på mere end 24 timer.

Sikring af infrastrukturen

§ 9. Ejere af elektroniske kommunikationstjenester, jf. § 2, skal på baggrund af risiko- og sårbarhedsvurderinger som nævnt i § 6 udarbejde en sikringsplan for og gennemføre sikring af virksomhedens infrastruktur. Sikringsplanen, som udarbejdes inden den 1. januar 2011, skal beskrive de tiltag, der er eller vil blive iværksat for at imødegå de trusler og risici, der er identificeret i risiko- og sårbarhedsvurderingen.

Stk. 2. Sikringsplaner som nævnt i stk. 1 skal i den forbindelse sikre, at særligt kritiske dele af den elektroniske infrastruktur som minimum

1) har lav sårbarhed over for funktionssvigt af væsentlige it-systemer.

2) har nødstrømsforsyning eller anden sikring af infrastrukturen, som i tilfælde af strømafbrydelse sikrer fortsat fuld funktionalitet i mindst 24 timer,

3) har lav sårbarhed over for hændelser, der kan skade virksomheden alvorligt, herunder terror, sabotage eller spionage.

Stk. 3. Uanset gruppering af infrastrukturen, jf. § 6, stk. 2, nr. 1 og stk. 3, betragtes følgende infrastrukturelementer som minimum som særligt kritiske, jf. stk. 2:

1) Teletrafikudvekslingspunkter mellem offentlige udbydere af elektroniske kommunikationstjenester samt

2) Teletrafikudvekslingspunkter til og fra udlandet.

§ 10. Ejere af elektroniske kommunikationsnet, jf. § 2, skal, hvis der foreligger en sikkerhedsmæssig trussel af betydning for ejerens udbud af elektroniske kommunikationsnet og -tjenester, herunder trusler i relation til krise og krig, terror eller sabotage, uden unødigt ophold iagttage IT- og Telestyrelsens påbud og forestå akutte sikkerhedsforanstaltninger inden for egen virksomhed, om eksempelvis særlige adgangskontroller, parkeringsrestriktioner, eftersyn med arealer og bygninger, kontrol med postforsendelser, begrænsning af adgangsveje, udpegning og forberedelse af bevogtning af særligt kritiske eller aktuelt truede objekter i samarbejde med relevante beredskabsmyndigheder, jf. § 3, stk. 4, gennemgang og kontrol af fysisk sikring af vitale bygninger og installationer samt afprøvning af beredskabsplaner.

Øvelser

§ 11. Ejere af elektroniske kommunikationsnet, jf. § 2, skal afholde beredskabsøvelser i anvendelse af deres beredskabsplaner.

Stk. 2. De i stk. 1 nævnte øvelser skal afholdes mindst en gang hvert andet år og skal over en 5-årig periode dække alle væsentlige dele af beredskabet, jf. § 7. Ejerne skal udarbejde en 5-årig øvelsesplan første gang for perioden fra den 1. januar 2011 til den 31. december 2015. Planen skal revideres årligt. I planen angives formålet med de planlagte øvelser, f.eks. træning, kontrol eller udvikling.

Stk. 3. Ejerne skal udarbejde en rapport om hver afholdt øvelse, herunder dennes forløb og de opnåede erfaringer samt planlagt opfølgning og tidsplan herfor. Rapportering om øvelser efter stk. 1 og 2 skal foreligge senest 2 måneder efter gennemførelsen af en øvelse og skal på anmodning herom fremsendes til IT- og Telestyrelsen.

Stk. 4. Ejerne skal på anmodning fra IT- og Telestyrelsen efter minimum 3 måneders varsel deltage i øvelsesaktivitet, som har til formål at øve det operative samarbejde mellem IT- og Telestyrelsen, ejerne og andre beredskabsmyndigheder, jf. § 3, stk. 4, herunder i forhold til iværksættelse af ejernes beredskab, jf. §§ 7, 8 og 10. IT- og Telestyrelsen planlægger ejernes deltagelse i sådanne øvelser og anviser procedurer for deltagelse i øvelserne.

IT- og Telestyrelsens tilsyn

§ 12. Ejere af elektroniske kommunikationstjenester, jf. § 2, skal på IT- og Telestyrelsens anmodning fremsende en årlig redegørelse for ejerens samlede beredskabsplanlægning, jf. §§ 7, 8 og 9.

Stk. 2. På IT- og Telestyrelsens anmodning jf. stk. 1, skal redegørelsen indeholde nærmere oplysninger om hændelser inden for ejerens forretningsområde, der i årets løb har medført hel eller delvis aktivering af dennes beredskab, og i den forbindelse oplysning om

1) beredskabssituationer, jf. § 3, stk. 2, eller andre hændelser, herunder terrorhandlinger, sabotage eller spionage, som i væsentlig grad har reduceret ejerens virksomheds funktionalitet og/eller funktionaliteten i andre dele af telesektoren,

2) beredskabssituationer, jf. § 3, stk. 2, eller hændelser, som i væsentlig grad har øget sårbarheden for samfundets teleforsyning,

3) i øvrigt omfattende afbrydelser i teleforsyningen, som har omfattet et større geografisk område eller har afbrudt teleforsyningen til et større antal telebrugere, hvor afbrydelsen har været af en varighed på mere end 24 timer.

Stk. 3. IT- og Telestyrelsen kan angive nærmere retningslinjer for ejernes redegørelse for beredskabsplanlægningen, jf. stk. 1 og 2.

§ 13. IT- og Telestyrelsen kan anmode ejere af elektroniske kommunikationstjenester, jf. § 2, om at fremsende beredskabs- og øvelsesplaner til IT- og Telestyrelsen med henblik på en vurdering af, om ejeren efterlever bestemmelserne i denne bekendtgørelse.

Straffebestemmelser

§ 14. Med bøde straffes den, der overtræder §§ 4-9, § 11, § 12, stk. 1 og stk. 2 og § 13.

Stk. 2. Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Ikrafttræden

§ 15. Bekendtgørelsen træder i kraft den 1. juli 2009.

IT- og Telestyrelsen, den 18. juni 2009

Jørgen Abild Andersen

/ Flemming Faber